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Abstract of DE1 0025085 
The control of safety critical processes of 
machines has a module (1) with a fault tolerant 
or two channel structure in which there are 
redundant hardware stages (3,4) that contain 
diverse software. Failures or faults are 
identified and actions initiated for prevention of 
erroneous machine operations. This uses a 
control program in memory (11) loaded over 
an interface (6). 
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Dim folg«nd*n Angaben sJnd den vom Anmeidar of ngtref cfrten Unteriagen «fitnomrran 

Prufungsantrag gem. § 44 PatG ist gestelit 

(g) Modul zur Steuerung oder Regelung von sicherheitsrelevanten Vbrgingen oder Ableufen fur den Betrieb von 
Meschinen oder Anlagen 

@ Es wird ein elektronisches Modul (1) baschrieben, dass 
sich zur Steuerung oder Regelung von Maschinen oder 
Anlagen eignet. Das Modul ist intern fehlartolerant aufge- 
baut und damrt in der Lege, mogliche Hard- oder Softwa- 
refehier slcher zu erkennen und zu beherrschen. Die Funk- 
tion des Module wird fiber ein Prog ra mm vorgegeban, 
welches sich uber etne aarielle Schnittstelle (6) oder ein 
lokales Netzwerk (7) in das Modul laden least Bei Uerwal- 
tung eines aicheren Datennetzea (8) kdnnen auch Oaten 
oder Zustinde von anderen Modulen (9, 10) ausgetauscht 
warden. Dam ft wird es mit diesem Modul mdglich, so 
wohl lokale els auch globale Intelligenz - zusamman mit 
anderen Modulen - als Steuerungs- oder Regelungssy- 
stem zu entwickeln. 
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[0013] Gleicbfalls and allc intemen Zusaizdnrichtungcn 
(wic dor Programmspricher, 11, der Parameterspeicher, 12) 
entweder deceit ausgelegt, oder sic werden regclmSfiig 
vollstandig auf Richtigfccil Uberprtift Das gilt auch filr die 
Eingabe der Daien von der extemen Peripheric. Hicr lasst 5 
sicb beispielsweise ein externer Kontakt (14) abfragen, der 
Qbcr speziellc Signalpegel versorgl wird, die ihrerseits ein 
Signalmuster en thai ten. Kurzschiitese oder nichl erlaubte 
Verbindungcn sind daber schnell erkennbar. 
[0014] Vfolikommen neu ist die Art der Progranunverar- 10 
beiiung im Modul (1) seibst, oder in einem Verbund von 
Modulen (1, 9, 10). Jedes dieser Module erbfilt ein Sicher- 
heitsprogramm, welches im Programmspeichcr (11) abge- 
legt wird, Zusaizlich befindet sich im Psrameterspeicher 
(12) ein Datensatz, der die Funktion des Moduls (1) vor- 15 
schreibt (z. B. Reaktionszeit, Teilnehmcradresse, Konfigu- 
ration des gesamten Bussystems, Zustand anderer Teilneb- 
mcr, usw,). Worn das Modul seibst innerhalb einer Sicher- 
heiisfunktion lokal aile Bin- und AusgabegroSen fur die 
vollstandige Verarbeitung von der angeschlossenen Periphe- 20 
rie (z. B. 13, 14) erhfilt, so kann die Sicherheitsfunktton 
ohne das HinzufUgcn zusatzlicber Daien ausgefUhrt werden. 
Sofero jedocfa zur vol! standi ger Bcrechnung noch weitcre 
GrdBcn fehlen, werden ausschlieBlich diese Uber das B ussy- 
stem (8) angefordert Die weiteren Module (9, 10) senden 25 
dann die gewflnscbten CrtiBen und crhallcn ebenfaUs allc 
Daten, so dass sic seibst ihre Funktion erfuMlcn konnen. 
[0015] Durch dieses Vertahren konnen an einem B ussy- 
stem (8) so won 1 autarke Sicherheitsmodule (mit lokaler Si- 
cherheitsrunktion) als auch vemetzte Sicherheitsmodule 30 
entstehen, die gemeinsam zu einer kompiexen Sicherheits- 
*. funktion beitragen. Im letzteren Fall entsteht ein Sicher- 
heitsverbund mit verteilter Intelligenz. 
[0016] Das Bild (Fig. 2) zeigt,wie sicb der interne Ablauf 
zur Verarbeitung im Rahmen einer vcrteilten Sicherheits- 35 
funktion gestaltet. Jedes Modul (1) erfaSlt ein Programm, das 
sich nach den angeschlossenen Ausgtagen innerhalb des 
Moduls oriendert Die notwendigc logische Funktion des 
Ausgangs (7) wird im Programmspeichcr abgclegt und von 
den beiden Verarbeitungseinheiten durchgcfiihrL Wenn alle 40 
notwendigeo EmgangsgrBBen (zur Kalkulation der gefor- 
derten AusgangsgrttSe) here its intern zur \ferfugung stehen 
(Uber die interne Ein- und Ausgabeeinheit im Modul, 6), so 
gclingt die autarke Verarbeitung der Skherheitsrlmkrion. 
[0017] In dem Fall, dass man zur ErfUUung der gewtmscb- 45 
ten Skherheatsfunktion extemc EingangsgrSBen braucbt 
(z. B. von den Modulen 2 und 3), so werden diese Daten (5) 
entweder zyktiscn oder auf Anforderung fiber das Bussy- 
stem (4) fibertragen. Es versteht sich von seibst, dass die Da- 
tenttbertragung ebcnfalls gesichert crfolgen muss, damit 50 
man cine Daienverfalschung ausschlieBen kann. 
|0018] Jede ubertrageoe Eingangsfunktkra legt das Modul 
(1) in einem Datenspeicher (Parameterspeicher) ab. Dabei 
wird sowohl der aktuelle Inhalt als auch die Zeit (oder ein 
emsprechender Zeitwert) festgehalten (840). Der Zeitwert 55 
wird dumb cine Uhr oder eineo Timer (9) zusStztich zum 
Datum (8) als Information hinzugefugt (10). 
[0019] Mit den Inhalten aus dem Parameterspeicher kann 
nun die Verarbeitungslogik (oder beide Einheiten) die ge- 
wunschte Funktion (7) erffiUen und den angeschlossenen 60 
Ausgang Qbcr die Pcripberieeinbeit (6) bedienen. 
[0020] Da in der Sicherbeitstechnik jeder Ablauf mit einer 
festen Reaktionszeit crfolgen muss, cmhSit jedes Datum (ei- 
nes extemen Moduls 2, 3) auch die aktuelle Zeit der Ablage 
oder der Yersendnng. Wenn es innerhalb der gewflnschien 65 
Reaktionszeit nichl gclingt, ein neues Datum zu der entspre- 
cbenden Einbeit zu fibertragen, so wird von dem Modul (1, 
24) cm sichcrcr Zustand eingeleitcL Dieser besteht in der 
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Regel darin, den Ausgang zu oeaknvicren. 
[0021] Durch diese MaBnahme wird gewahrieistet, dass 
bei einem Defekt einer extemen Einbeit oder bei Ausf all des 
Bussystems, stets ein sichcrer Zustand erreicht wird Das 
Verf ahrcn hat zudem noch den Vbrteil, dass nur dicjenigen 
Daten Uber den Bus Ubertragen werden, die nicht in den Ein* 
bei ten seibst vorliegen. Die Datenrate und die damit verbun- 
dene Auslastung des Bussystems (4) konnen so mit gering 
gehalten werden. 

[0022] Zur Verieilung der programimerbaren Funktionen 
wird ein Obersetzer (Compiler) benotigt, der die iogischen 
Pfade entsprechend der gewfinschten Ausgangsfunktion be- 
reebnet Hterdurch entstehen Programmteile, die sich in je- 
des Modul herunterladen lassea Das Verf ahrcn der Block- 
bildung und der Dezentralisierung ist bereits in der Norm 
IEC 1131-3 beschrieben und kann bei der Programmierung 
des bier vorgesteflten System der vcrteilten Sicherheit ango- 
wendet werden. 

BEZUGSZEICHENLISTE 

Abb,l 

1 Modul 

2 2kanaHge fehlertolerante Struktur (evcntuell mit redun- 
danter Hard- und diversitarer Software) 

3 Verarbeitungslogik (Kanal 1) 

4 Verarbeitungslogik (Kanal 2) 

5 Interface (zur Kommunikation mit einem iokalen Netz 
oder einer seriellen SchnittsteUe) 

6 Serieile SchniusteUe (Option) 

7 Anschluss an ein lokales Netzwerk 

8 Lokales Netzwerk 

9 Weiteres Modul am Netzwerk 

10 Weiteres Modul am Netzwerk 

11 Programmspeichcr zur Ablage des Programms (zur Er- 
fUUung der Sicherbeitsfunktion) 

12 Parameterspeicher (zur Ablage der Kon figuration, Dia- 
gnose, Status und der Zustande im Modul und im Netzwerk) 

13 Ein- oder Ausgabekanal zur Steuerung oder Regelung 

14 Beispiel eines Anschlusses extern verdrahteter Sicher- 
heitseinheiten 

Abb, 2 
Legende: 

1 Modul 

2 Weiteres Modul 

3 Weiteres Modul 

4 Datenfibcrtragung fiber lokales Netzwerk 

5 Datum, Ein- oder Ausgangswert von fremden Modul 

6 Ein- und Ausgabeeinheit im eigenen Modul 

7 Logik zur Bcrechnung der Daten und Ausgabefr nktion 

8 Dateninhalt (im Speicher) von externem Modul 

9 Interne Uhr 

10 Zeitwert bei Dateneingang vom Netzwerk 

Patentansprtiche 

1. Modul (Fig. 1: 1) zur Steuerung oder Regelung von 
sicherfaeitsrelevanten VorgSngen oder Ablaufen fur den 
Betrieb von Maschinen oder Anlagcn. dadorcb ge- 
kenrtzekhnrt, dass das Modul (Fig. 1: 1) aus einer feb- 
lertoleraten oder einer vergleichbaren 2kanaligen 
Struktur (Fig. 1: 2) besteht, die cine redundante Hard- 
ware (Fig. i: 3, 4) und eioe rfiversitare Software ent- 
halt, die in dem Modul (Ftg.1: 1 ) hinterlegt wird, damit 
sowohl Bauteilaufailc oder Stdrungen als auch syste- 
maliscbe Fehler erkannt und sicber beherrscht werden, 
sowie Ein- und Ausgabekanale zur VerfUgung stelll 
(Fig. 1: 13), damit der sicherc Betrieb externer Ger2tc 
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crmdglicht wind, deren Funktion oder Ablauf durcb 
eine Programm vorgegeben wird, das sich ira Pro- 
grammspcichcr (Fig. 1: 11) befindet, das sich mi tie Is 
ciner send ten Schnittstelle (Fig. I: 6) oder cities loka- 
lea Netzes (Fig. 1: 7) Uber cin Interfwx (Fig. 1: 5) in 
das Modul (Fig. 1: 1) laden lasst, damit das Modul so 
wohl lokale Intelligenz als programmierbare autarke 
Einheit, als audi globale Intelhgenz im Zusammen wir- 
ken mit andcrcn fihnlich oder identisch aufgebauten 
Modulen (Fig. 1: 9, 10) Uber ein geeignetes Netzwerk 
(Fig. 1 : 8) oder einen Datenttbertragungskanal entwik- 
keln kann. 

2. Modul nach dem Anspruch 1 , dadurch gekennzeich- 
neU dass die Programmierung Qbcr Standardsprachen 
moglich ist, die den sicbcren Ablauf und die Funktion 
von Maschinen oder Anlagen beschieiben oder darstel- 
len, und dass dieses Programm in emcm Programm- 
speicber (Fig. 1: U) hinterlegt wird. 

3. Modul nach den AnsprUchen 1 und 2, dadurch ge- 
kennzeichnet, dass ein komplexes Sicberheitspro- 20 
grarom filr eine Maschine oder Anlage sich dcrart auf- 
tcilen oder gliedern lfisst, dass sich Teile in mehrere 
Module unterbringen lassen und danrit das gcsamle 
Gefiige eine vollstandiges Skherheitssystern darstellt 

4. Modul nach den Anspruchen 1 bis 3, dadurch ge~ 25 
kennzeichnet, dass sich Zustfinde, Daten, Ein- und 
Ausgangswerte von anderen Modulen Obcrtragen las- 
sen, damit man gesicherte Funktionen auch bei Ober- 
windung grofierer Distanzen oder unter Verwendung 
zahlreicher peripherer GroBen erreicheo kann. 

5. Modul nach den Anspruchen 1 bis 4, dadurch ge- 
kennzeichnet, dass Status- und Diagnosefunktionen zur 
Verfilgung gestellt werden, die in einem Parameter- 
speicher liegcn (Fig. 1: 12), damit man Uber den Ablauf 
oder die Funktion der Maschine oder Anlage weitrfiu- 35 
mig informiert ist. 

6. Modul nach den Anspruchen 1 bis 5, dadurch ge- 
kenDzeichnet, dass eine laufende interne KontroDe 
durcbgefiihrt wird, damit mdglichc Fehler in der ange- 
schlossenen Peripherie als auch im Modul selbst er- 40 
kannt und Qbenniaelt werden. 

7. Modul nach den AnsprQchen 1 bis 6, dadurch ge- 
kennzcichnet, dass sich das Programm zur ErfQllung 
der Sicherbeit auch nachtraglich oder sogar wfihrend 
des Betriebs laden lasst, und in den Programmspeicher 45 
(Flg.1: IDgelangl. 

8. Modul nach den AnsprUchen 1 bis 7, dadurch ge- 
kennzeichnet, dass ein intemer Parameterspeicher 
(Fig. 1: 12) existiert, dessen Inhait fur die Funktion, die 
Arbeitsweise und den Zu stand alter intemen Groflen, 50 
sowie die Ein- und Ausgange verantwortiich ist 

9. Modul nach den Anspruchen 1 bis 8> dadurch ge- 
kennzeichnet, dass die Ein- und Ausgange auch ver- 
drahtete Sicherbeitevorrichtungen (Fig. 1: 14) betrei- 
ben konnen und die entsprecbenden Testmuster zur 55 
Fehlererkennung von Drahtoriichen oder Kurzschliis- 
sen zur Verfiigung stellen kdnnen. 

10. Modul nach den AnsprQchen 1 bis 9, dadurch ge- 
kennzeichnei, dass der Dalen transport (Fig. 2: 4) zu- 
saizlicher Ein- und Ausgabegrofien fremder Module 60 
uber ein Uhr (Fig. 2: 9) Qberwacht wird Hierdurch 
wird das Modul in einen sicheren Zustand geschaltet, 
wenn uber einen defimerbaren Zeitraum keine Anlwort 
einer, fur die interne Funktion des jeweiligen Moduls 
notwendige, GrOfie Qbertragen wird. Hierdurch isi eine 65 
sicherheitsgerichtete Koctrolle des gesamtes Netzwer- 
kesgegeben. 

11. Modul oacb den Anspruchen 1 bis 10, dadurch ge- 



kennzeichnet, dass die Daten, Ein- oder Ausgangsgro- 
Ben fremder Module Qber ein sicherheitsgerichtes Da- 
tennetz oder ein lokales Netzwerk (Fig. 2: 4) mit Si- 
cherhettsarchitektur Qbertragen werden. 
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